Amazon
Web Services
Microsoft Azure
Google Cloud Platformクリーンルームの作成
プレビュー
この機能はパブリックプレビュー段階です。
この記事では、複数の関係者が互いのデータに直接アクセスすることなく、機密性の高いエンタープライズ データで共同作業できる、安全でプライバシー保護の環境であるクリーン ルームを作成する方法について説明します。
始める前に
クリーンルームの使用に必要な権限は、タスクによって異なります。
クリーンルームを作成するには、
CREATE CLEAN ROOM権限を持っているか、メタストア管理者である必要があります。 作成者は、Unity Catalog メタストア内のクリーン ルームの所有者として自動的に割り当てられます。共有されているクリーン ルームへの参加を開始するには、メタストア管理者である必要があります。
クリーンルームを共有すると、コラボレーター組織のメタストア管理者にクリーンルームの所有権が自動的に割り当てられます。 メタストア管理者は、メタストア管理者以外の人に所有権を再割り当てできます。 データガバナンスのベストプラクティスとして、 Databricks では、所有権をグループに割り当てることをお勧めします。
ワークスペースにメタストア管理者が割り当てられていない場合は、ロールを割り当てる必要があります。 メタストア管理者の割り当ておよびUnity Catalogオブジェクトの所有権の管理を参照してください。
クリーンルームでデータアセットとノートブックを追加および削除するには、クリーンルームの所有者であるか、クリーンルームに対する
MODIFY CLEAN ROOM権限を持っている必要があります。 さらに、あなたとクリーンルームの所有者 (所有者でない場合) は、追加するテーブルとビューにSELECTを持ち、追加するボリュームにREAD VOLUMEする必要があります。
クリーン ルームを更新し、クリーン ルームでタスク (ノートブック) を実行するためのアクセス許可要件については、 クリーン ルームの管理およびクリーン ルームでのノートブックの実行を参照してください。
メタストアごとに最大 5 つのクリーン ルームを作成できます。
ステップ 1. コラボレーターの共有識別子をリクエストします
クリーンルームを作成する前に、協力する組織のクリーンルーム共有識別子が必要です。 共有識別子は、組織のグローバルメタストア ID + ワークスペース ID + 連絡先のユーザー名 (Eメール アドレス) で構成される文字列です。 コラボレーターは、任意のクラウドまたはリージョンに配置できます。
コラボレーターに連絡して、共有識別子をリクエストします。
コラボレーターは、共有識別子を検索するの手順を使用して共有識別子を取得できます。
ステップ 2. クリーンルームを作成する
クリーンルームを作成するには、カタログエクスプローラーを使用する必要があります。
Databricks ワークスペースで、
カタログをクリックします。クイック アクセスページで、クリーン ルーム >ボタンをクリックします。
または、
カタログ ウィンドウの上部にある 歯車アイコンをクリックし、 Clean Rooms を選択します。Create Clean Roomをクリックします。
Create Clean Roomページで、クリーン ルームのわかりやすい名前を入力します。
名前には、スペース、ピリオド、スラッシュ (/) を使用できません。
クリーンルーム名は、一度保存すると変更できません。 コラボレーターが便利で説明的だと感じる名前を使用してください。
中央クリーン ルームを作成するクラウド プロバイダーとリージョンを選択します。
クラウド プロバイダーは現在のワークスペースと同じである必要がありますが、リージョンは異なります。 選択する際には、組織のデータ保存場所やその他のポリシーを考慮してください。
(オプション)コメントを追加します。
コラボレーターの クリーンルーム共有識別子を入力します。
ステップ 1. 共同作業者の共有 ID を要求しますを参照してください。
自分(作成者)と共同作業者に割り当てられたカタログ名をメモします。
クリーン ルームに追加されたすべてのデータ アセットは、中央クリーン ルームのそのカタログの下に表示され、 Unity Catalog 3 レベルの名前空間 (
<catalog>.<schema>.<table-etc>) でそのカタログを使用して参照できます。ネットワークアクセスポリシーの種類を選択します。 クリーンルーム作成後は変更できません。
フルアクセス:無制限のアウトバウンドインターネットアクセス。
制限付きアクセス: 指定したインターネットの宛先への送信アクセスを制限します。 Network ポリシー overviewおよびManaging network policy for serverレス egress controlを参照してください。
注:
アクセスが制限されると 、アセットの可用性が最大 10 分遅れる可能性があり、Google クラウド コラボレーターはサポートされません。
クリーンルームを作成したら、[ セキュリティ ]タブでネットワークアクセスポリシーを表示できます。
Create Clean Roomをクリックします。
ステップ 3. データ資産とノートブックをクリーン ルームに追加する
クリーンルーム内のどちらの関係者(作成者と共同作業者)も、テーブル、ボリューム、ビュー、ノートブックをクリーンルームに追加できます。
必要な権限:
あなたは所有者であるか、クリーンルームの
MODIFY CLEAN ROOM権限を持っている必要があります。お客様とクリーンルームの所有者(お客様が所有者でない場合)は、追加する任意のテーブルまたはビューに
SELECT、追加する任意のボリュームにREAD VOLUME、親カタログとスキーマにUSE CATALOGとUSE SCHEMAを持っている必要があります。クリーンルームの所有者は、クリーンルームの寿命を通じてこれらの特権を維持する必要があります。
注:
次の手順は、アセットを追加するためにすでに作成されたクリーンルームに戻ることを前提としています。 初めてクリーンルームを作成したばかりの場合は、ウィザードの指示に従ってデータアセットとノートブックを追加できます。 これらのアセットを追加するための実際の UI は、ウィザードにガイドされているかどうかに関係なく同じです。
アセットを追加するには:
Databricks ワークスペースで、
カタログをクリックします。クイック アクセスページで、クリーン ルーム >ボタンをクリックします。
または、
カタログ ウィンドウの上部にある 歯車アイコンをクリックし、 Clean Rooms を選択します。更新するクリーンルームの名前を見つけてクリックします。
+ データ資産の追加 をクリックして、テーブル、ボリューム、またはビューを追加します。
共有するデータアセットを選択し、 データアセットの追加 をクリックします。
テーブル、ボリューム、またはビューを共有する場合、オプションでエイリアスを追加できます。 エイリアス名は、クリーンルームで見える唯一の名前になります。
テーブルを共有する場合、オプションでパーティション句を追加して、テーブルの一部のみを共有できるようにすることができます。 パーティションを使用して共有する内容を制限する方法の詳細については、共有するテーブルパーティションの指定を参照してください。
ノートブックを追加するには、 + ノートブックの追加ボタンをクリックし、追加するノートブックを参照します。
必要に応じて、ノートブックに別のノートブック名を付けることができます。
クリーンルームで共有するノートブック クエリデータおよび、自分と他のコラボレーターがクリーンルームに追加したテーブル、ビュー、およびボリュームでデータ分析ワークロードを実行します。
ノートブックは暗黙の承認の原則に基づいて動作します:作成したノートブックを実行することはできません。 共同編集者が使用するノートブックはユーザーが作成し、ユーザーが使用するノートブックは共同編集者が作成します。
結果を含むノートブックを共有すると、その結果は共同作業者と共有されます。
ノートブックを使用して、ノートブックを実行するときにコラボレーターのメタストアに一時的に共有される 出力テーブル を作成できます。 Databricks クリーンルームでの出力テーブルの作成と操作を参照してください。
重要
クリーンルームに追加されたテーブル、ビュー、またはボリュームへのノートブック参照では、クリーンルームの作成時に割り当てられたカタログ名を使用する必要があります (クリーンルーム作成者によって追加されたデータアセットの場合は「creator」、招待されたコラボレーターによって追加されたデータアセットの場合は「collaborator」)。 たとえば、作成者が追加したテーブルに
creator.sales.californiaという名前を付けることができます。同様に、ノートブックが、クリーンルーム内のデータ資産に割り当てられたエイリアスを使用していることを確認します。